Cisco Cisco Firepower Management Center 2000 Guia Do Utilizador

46-20

FireSIGHT 系统用户指南

第 46 章      增强网络发现       

  使用应用检测器

步骤 4

或者，指定系统应在数据包中开始搜索模式的位置，该位置称为偏移。

在 

 字段中，键入偏移 （从数据包负载起始位置计算，以字节为单位）。

因为数据包负载从 0 字节开始，请按以下方法计算偏移：将想要从数据包负载起始位置前移的字
节数减去 1。例如，要查找数据包的第 5 个位中的模式，在 

Offset

 字段中键入 

。

步骤 5

或者，请重复步骤 1 至步骤 4，添加其他模式。

提示

要删除模式，点击想要删除的模式旁的删除图标  (

)。

步骤 6

您有以下选项：

如果想要针对一个或多个 PCAP 文件的内容测试新检测器，继续执行下一节

中的步骤。

创建检测器完毕，点击 

。

系统将保存应用协议检测器。

注

。

针对数据包捕获测试应用协议检测器

许可证：FireSIGHT

如您拥有的数据包捕获 (PCAP) 文件包含的数据包带有要检测的应用协议的流量，则可针对该 
PCAP 文件测试用户定义的应用协议检测器。请注意，PCAP 文件必须为 32KB 或更小，如果尝试
针对较大的 PCAP 文件测试检测器，防御中心会自动将其截断。

要针对 PCAP 文件测试应用协议检测器，请执行以下操作：

访问：管理员/发现管理员

步骤 1

在 Create Detector 页面上的 Packet Captures 部分中，点击 

。

系统将显示一个弹出窗口。

步骤 2

浏览至 PCAP 文件，并点击 

。

PCAP 文件在 Packet Captures 文件列表中显示。

步骤 3

要针对 PCAP 文件的内容测试检测器，点击 PCAP 文件旁的评估图标。

系统显示消息，指示测试是否成功。

步骤 4

或者，重复第 1至 3 步，针对额外的 PCAP 文件测试检测器。

提示

要删除 PCAP 文件，点击想要删除的文件旁的删除图标  (

)。